Dopo Lenovo, ora anche i PC e i Laptop Dell vengono spediti con un CA root non autorizzato

Dell spedisce laptop con CA root non autorizzato, esattamente come è successo con Lenovo e Superfish

Sembra che la reazione degli utenti contro il bloatware Superfish spedito con i PC e i Laptop Lenovo non abbia dissuaso gli altri produttori dall’installare bloatware simili preinstallati. Dell è un altro di questi grandi produttori che si è scoperto spedire PC e Laptop preinstallati con tale bloatware non autorizzato.

Un utente di Twitter, Joe Nord, ha scoperto che i PC e i Laptop Dell vengono spediti con un certificato root di livello non autorizzato.

Nuovo computer, “eDellRoot” nella lista dei certificati root di fiducia. Valido fino al 2039. Non è una bella sensazione. pic.twitter.com/HqpatkwrSZ — Joe Nord (@jhnord) 2 novembre 2015

Nord ha realizzato un post web descrivendo eDellRoot. Dice che, sebbene le azioni svolte da eDellRoot non siano attualmente note, potrebbero rientrare nella stessa categoria di Superfish. Dice: “il certificato eDellRoot è un root di fiducia che scade nel 2039 ed è destinato a tutti gli scopi. Nota che questo è più potente del certificato DigiCert chiaramente legittimo appena sopra, il che suscita maggiore curiosità.”

Il problema con questo CA root non autorizzato è che non si sa quali attività di spionaggio svolgerà, a differenza di Superfish su Lenovo, che era noto iniettare adware nei PC e Laptop Lenovo senza il consenso degli utenti.

Nord ha ulteriormente studiato il certificato e ha affermato che “Hai una chiave privata che corrisponde a questo certificato”. Questo sta diventando molto sospetto! Come utente di computer, non dovrei MAI avere una chiave privata che corrisponde a un CA root. Solo il computer che emette il certificato dovrebbe avere una chiave privata e quel computer dovrebbe essere… molto ben protetto!”

“Questa è la stessa azione che esisteva con Superfish e in quel caso, Lenovo ha compiuto l’azione terribilmente orribile di utilizzare la STESSA chiave privata su ogni computer. Dell ha fatto lo stesso?”

Un altro utente, Rotorcowboy, ha realizzato un thread elaborato su Reddit riguardo al CA root non autorizzato. L’intero post è riprodotto di seguito:

Ho ricevuto un nuovo laptop XPS 15 da Dell e, mentre cercavo di risolvere un problema, ho scoperto che era pre-caricato con un CA root auto-firmato di nome eDellRoot. Con esso è arrivata la sua chiave privata, contrassegnata come non esportabile. Tuttavia, è ancora possibile ottenere una copia grezza della chiave privata utilizzando diversi strumenti disponibili (ho usato lo strumento Jailbreak di NCC Group). Dopo aver discusso brevemente di questo con qualcun altro che lo aveva scoperto anche lui, abbiamo determinato che stanno spedendo ogni laptop che distribuiscono con esattamente lo stesso certificato root e chiave privata, molto simile a quello che ha fatto Superfish sui computer Lenovo. Per coloro che non sono familiari, questa è una grave vulnerabilità di sicurezza che mette in pericolo tutti i recenti clienti Dell. Sicuramente Dell doveva aver visto che tipo di cattiva pubblicità ha ricevuto Lenovo quando le persone hanno scoperto cosa stava combinando Superfish. Eppure, hanno deciso di fare la stessa cosa, ma peggio. Questo non è nemmeno un’applicazione di terze parti che l’ha messa lì; proviene dal bloatware di Dell stesso. Per aggiungere insulto al danno, non è nemmeno chiaro quale scopo serva il certificato. Almeno con Superfish sapevamo che il loro CA root non autorizzato era necessario per iniettare pubblicità nelle tue pagine web; il motivo per cui quello di Dell è lì non è chiaro. Se hai recentemente acquistato un computer Dell e vuoi vedere se sei colpito da questo, vai a Start -> digita “certmgr.msc” -> (accetta il prompt UAC) -> Autorità di Certificazione Radice di Fiducia -> Certificati e controlla se hai un’entrata con il nome “eDellRoot”. Se sì, congratulazioni, sei stato compromesso da Dell, la stessa azienda per cui hai pagato il tuo computer! Ecco un link al certificato, alla chiave privata e al file PFX per il certificato che ho trovato sulla mia macchina. La password per il file PFX è “dell”. (Il certificato stesso è nel file eDellRoot.crt. NON importare il file PFX a meno che tu non sappia cosa stai facendo. L’ho incluso solo per comodità.) Se il tuo è arrivato con il certificato eDellRoot, la sua impronta digitale sarà probabilmente: ``` 98:A0:4E:41:63:35:77:90:C4:A7:9E:6D:71:3F:F0:AF:51:FE:69:27

E il suo numero di serie: 6b:c5:7b:95:18:93:aa:97:4b:62:4a:c0:88:fc:3b:b6

``` È frustrante che Dell faccia questo nonostante la reazione negativa che Lenovo ha ricevuto dai suoi clienti e dal Dipartimento della Sicurezza Nazionale degli Stati Uniti, e spero davvero che facciano rapidamente qualcosa per correggere questa situazione. Più persone sanno e parlano, più velocemente accadrà. Non si sa se questo certificato provenga da Dell Computer Corporation. Tutti i certificati root sono sempre auto-firmati, quindi eDellRoot afferma che eDellRoot è un certificato legittimo. Ma avere una chiave privata registrata in un computer è male. Rotorcowboy ha contattato Dell su Twitter e @DellCares afferma che è un certificato di fiducia. > @DellCares Questa è una PREOCCUPAZIONE di sicurezza MAGGIORE, specialmente perché i vostri clienti hanno tutti lo STESSO CA sui loro computer. (1) — Kevin Hicks (@rotorcowboy) 22 novembre 2015 Per coloro che dicono che questo è solo un CA di livello root e non uno spyware di livello completo come Superfish, rotorcowboy ha dichiarato che “Ho letto che molte persone sono scettiche nel senso che questo CA non può effettivamente fare nulla perché il CA non ha capacità. Ho fatto ulteriori ricerche e ho scoperto che questo CA può effettivamente firmare certificati server. Ho aggiornato l’elenco dei file sopra per includere un certificato emesso dal CA con il nome del file “badgoogle.crt”, che puoi anche vedere in questo screenshot. Per coloro che non sono familiari con come funziona, un attaccante di rete potrebbe utilizzare questo CA per firmare i propri certificati falsi da utilizzare su siti web reali e un utente Dell colpito non ne sarebbe a conoscenza a meno che non controllasse la catena di certificati del sito web. Questo CA potrebbe anche essere utilizzato per firmare codice da eseguire sui computer delle persone, ma non l’ho ancora testato.” Dell finora non ha commentato la questione. Stiamo contattando Dell per i loro commenti. Nel frattempo, se sei un proprietario di un PC/Laptop Dell, ti viene richiesto di controllare se il tuo PC/Laptop ha il certificato non autorizzato secondo il metodo fornito da Rotorcowboy.